redis访问安全加固
本文内容纲要:
-目录
-Redis漏洞
-入侵特征
-满足以下条件Redis实例存在此安全隐患
-Redis安全规范
-禁止root用户启动redis
-限制redis文件目录访问权限
-开启redis密码,并设置高复杂度密码
-禁用或重命名危险命令
-配置redis仅监听在本地地址
-修改默认6379端口
-信任的内网运行,尽量避免有公网访问
-其它
-redis相关命令
目录
-
redis漏洞
- 入侵特征
- 安全隐患
-
redis安全规范
- 禁止root用户启动
- 限制redis文件目录访问权限
- 开启密码认证,设置复杂密码
- 禁用或重命名危险命令
- 设置允许监听地址,不要使用0.0.0.0
- 尽量修改默认端口6379
- 信任的内网运行,尽量避免有公网访问
Redis漏洞
Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功在Redis服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。
入侵特征
- Redis可能执行过FLUSHALL方法,整个Redis数据库被清空
- 在Redis数据库中新建了一个名为crackit(网上流传的命令指令)的键值对,内容为一个SSH公钥。
- 在/root/.ssh文件夹下新建或者修改了authorized_keys文件,内容为Redis生成的db文件,包含上述公钥,完成root权限获取。
满足以下条件Redis实例存在此安全隐患
- Redis使用root用户启动
- Redis未设置密码或密码过于简单
- Redis允许任意地址连接,即bind0.0.0.0
- Redis未重命名或禁用config,flushdb/flushall,[bg]save等命令
- 使用默认端口6379(非强制)
加强Redis的安全性,提供以下安全规范。
备注:如果修改redis配置文件redis.conf,并且重启redis服务后生效。
Redis安全规范
禁止root用户启动redis
为Redis服务创建单独的用户和home目录,使用普通用户启动,安全性往往高很多;
业务程序永久别用root用户运行。
限制redis文件目录访问权限
设置redis的主目录权限为700;如果redis配置文件独立于redis主目录,权限修改为600,因为Redis密码明文存储在配置文件中。
$chmod700/var/lib/redis#redis目录
$chmod600/etc/redis/redis.conf#redis配置文件
开启redis密码,并设置高复杂度密码
redis没有实现访问控制这个功能,但是它提供了一个轻量级的认证方式,可以编辑redis.conf配置来启用认证。
redis因查询效率高,auth这种命令每秒能处理10w次以上,简单的redis的密码极容易为攻击者暴破。
requirepass至少长度20位以上,为方便可使用一个特殊串sha256sum命令生成64位的无特殊字符串。
$echo"dfasdERQEWRQEW31341dfadsfadsf"|sha256sum
af970b3691a0774b2a5adae1375e14cd9e5db3591564f0eb789c2324cc02362f-
1、初始化Redis密码:
在配置文件中有个参数:requirepass这个就是配置redis访问密码的参数;
比如requirepasstest123;
(Ps:需重启Redis才能生效)
redis的查询速度是非常快的,外部用户一秒内可以尝试多大150K个密码;所以密码要尽量长(对于DBA没有必要必须记住密码);
2、不重启Redis设置密码:
在配置文件中配置requirepass的密码(当redis重启时密码依然有效)。
redis127.0.0.1:6379>configsetrequirepassed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815
查询密码:
redis127.0.0.1:6379>configgetrequirepass
(error)ERRoperationnotpermitted
密码验证:
redis127.0.0.1:6379>authed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815
OK
再次查询:
redis127.0.0.1:6379>configgetrequirepass
1)"requirepass"
2)"ed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815"
PS:如果配置文件中没添加密码那么redis重启后,密码失效;
3、登陆有密码的Redis:
在登录的时候的时候输入密码:
redis-cli-p6379-aed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815
先登陆后验证:
redis-cli-p6379
redis127.0.0.1:6379>authed4c39b015b0e46f074dbfd0a9a4ab278f63340a6d640999f25c68a932fef815
OK
AUTH命令跟其他redis命令一样,是没有加密的;阻止不了攻击者在网络上窃取你的密码;
认证层的目标是提供多一层的保护。如果防火墙或者用来保护redis的系统防御外部攻击失败的话,外部用户如果没有通过密码认证还是无法访问redis的。
禁用或重命名危险命令
这个漏洞就利用config/save两个命令完成攻击。因redis无用户权限限制,建议危险的命令,使用rename配置项进行禁用或重命名,这样外部不了解重命名规则攻击者,就不能执行这类命令。
以下示例:redis.config文件禁用FLUSHDB、FLUSHALL两个命令;重命名CONFIG、SHUTDOWN命令,
添加一个特殊的后缀。这样redis启动后,只能运行CONFIG_b9fc8327c4dee7命令,不能执行CONFIG命令。
#Itisalsopossibletocompletelykillacommandbyrenamingitinto
#anemptystring:
#
rename-commandCONFIGCONFIG_b9fc8327c4dee7
rename-commandSHUTDOWNSHUTDOWN_b9fc8327c4dee7
rename-commandFLUSHDB""#禁用此命令
rename-commandFLUSHALL""#禁用此命令
配置redis仅监听在本地地址
redis.conf配置文件:
bind127.0.0.1192.168.13.12
通常我都设置为bind0.0.0.0,允许远程连接,但这是不安全的。修改后重启redis服务。
修改默认6379端口
redis.conf配置文件:
port6666
默认端口为6379。
信任的内网运行,尽量避免有公网访问
redis自身只有一个密码控制访问,不能设置用户权限和IP限制。理论把redis运行在一个信任的网络环境中
其它
-
监控redis安全状态,cmdstat_authcmdstat_flushdb/flushall监控报警。
-
Redis设计旨在提供高性能的KV服务,至少目前在权限访问控制和数据持久化方面比较弱化。所以禁止在Redis中存储或缓存敏感的明文数据。
-
针对之前Redis版本,默认无bind和密码设置存在很大安全风险;Redis3.2版本提出新特性protectedmode(保护模式)。
如果Redis在启动时,未开启bind和密码设置功能,只能通过回环地址本地访问,如果尝试远程访问redis,会提示以下错误:DENIEDRedisisrunningprotectedmodebecauseprotectedmodeisenabled, nobindaddresswasspecified,noauthenticationpasswordisrequestedtoclients. Inthismodeconnectionsareonlyacceptedfromtheloopbackinterface.
当然也可直接执行CONFIGSETprotected-modeno,关闭保护模式。
redis相关命令
最常用到的是redis-cli
redis-cli-help查看参数
远程连接
redis-cli-hHOST-pPORT-aPassword
如:
redis-cli-h127.0.0.1-p6379-atest123
执行命令
redis-cli-hHOST-pPORTCOMMAND
如:
$redis-cli-h127.0.0.1-p6379gethello
"world"
关于命令这篇总结的比较好:https://www.cnblogs.com/kongzhongqijing/p/6867960.html
本文内容总结:目录,Redis漏洞,入侵特征,满足以下条件Redis实例存在此安全隐患,Redis安全规范,禁止root用户启动redis,限制redis文件目录访问权限,开启redis密码,并设置高复杂度密码,禁用或重命名危险命令,配置redis仅监听在本地地址,修改默认6379端口,信任的内网运行,尽量避免有公网访问,其它,redis相关命令,
原文链接:https://www.cnblogs.com/zhoujie/p/redis2.html